網(wǎng)絡(luò)課程設(shè)計(jì)---大學(xué)數(shù)字化校園網(wǎng)絡(luò)搭建

1、<p><b>　　網(wǎng)絡(luò)實(shí)務(wù)課程設(shè)計(jì)</b></p><p><b>　　目 錄</b></p><p><b>　　1 引言3</b></p><p><b>　　2 需求分析3</b></p><p><b>　　2.1建網(wǎng)

2、需求3</b></p><p>　　2.2 設(shè)計(jì)目標(biāo)4</p><p>　　3 校園網(wǎng)結(jié)構(gòu)的設(shè)計(jì)4</p><p>　　3.1 總體設(shè)計(jì)原則4</p><p><b>　　4 解決方案5</b></p><p>　　4.1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)5</p><p&

3、gt;　　4.2組網(wǎng)技術(shù)選擇6</p><p><b>　　4.3方案說(shuō)明6</b></p><p>　　4.4關(guān)鍵核心技術(shù)的實(shí)現(xiàn)6</p><p>　　4.5中心機(jī)房的設(shè)計(jì)方案8</p><p>　　4.6出口發(fā)案說(shuō)明9</p><p>　　5.網(wǎng)絡(luò)設(shè)備選型11</p>

4、<p><b>　　5.1交換機(jī)11</b></p><p>　　5.2 銳捷網(wǎng)絡(luò) RG-WALL 100012</p><p><b>　　5.3服務(wù)器12</b></p><p>　　6 網(wǎng)絡(luò)系統(tǒng)建設(shè)13</p><p>　　6.1 網(wǎng)絡(luò)平臺(tái)選擇13</p>

5、<p>　　6.2 硬件平臺(tái)13</p><p>　　6.3 操作系統(tǒng)13</p><p>　　6.4 應(yīng)用平臺(tái)14</p><p>　　7 網(wǎng)絡(luò)地址規(guī)劃14</p><p>　　7.1 IP 地址規(guī)劃14</p><p>　　7.2 VLAN 劃分18</p><p>

6、　　8 “數(shù)字化校園“網(wǎng)絡(luò)建設(shè)方案實(shí)施控制流程2</p><p>　　9 網(wǎng)絡(luò)安全設(shè)計(jì)12</p><p>　　9.1物理安全設(shè)計(jì)12</p><p>　　9.2網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計(jì)13</p><p>　　9.3防火墻技術(shù)12</p><p><b>　　參考文獻(xiàn)17</b>

7、;</p><p><b>　　1 引言</b></p><p>　　科學(xué)技術(shù)的發(fā)展日新月異，網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代信息技術(shù)的主流，人們對(duì)網(wǎng)絡(luò)的認(rèn)識(shí)也隨著網(wǎng)絡(luò)的應(yīng)用的逐漸普及而迅速改變。而網(wǎng)絡(luò)必將成為一種通用的工具，成為人們生活，工作，學(xué)習(xí)中必不可少的一部分。校園網(wǎng)應(yīng)為學(xué)校教學(xué)，科研提供先進(jìn)的信息化教學(xué)環(huán)境。</p><p>　　在現(xiàn)在這個(gè)知識(shí)爆

8、炸的社會(huì)中，對(duì)于合格人才的要求越來(lái)越多，需要他們掌握大量的各類知識(shí)，在教育中需要提高教學(xué)效率。現(xiàn)在出現(xiàn)了許多新的教學(xué)方法，以各種方式提高學(xué)生對(duì)知識(shí)的掌握速度，在與前人同樣的時(shí)間內(nèi)，掌握比前人更多的知識(shí)，而這些教學(xué)方法，需要利用計(jì)算機(jī)網(wǎng)絡(luò)才能實(shí)現(xiàn)。</p><p>　　這就要求校園網(wǎng)是一個(gè)具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件的開(kāi)發(fā)平臺(tái)，多媒體演示教室，教師備課系統(tǒng)，電子閱覽室以及教學(xué)，考試資料庫(kù)等，都

9、可以通過(guò)網(wǎng)絡(luò)運(yùn)行工作。校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備，通信介質(zhì)和組網(wǎng)技術(shù)和協(xié)議以及各類系統(tǒng)管理軟件和各種終端有效地集成在一起，并用于教學(xué)，科研，學(xué)校管理，信息資源共享和遠(yuǎn)程教學(xué)等方面的計(jì)算機(jī)局域網(wǎng)系統(tǒng)。</p><p>　　校園網(wǎng)應(yīng)具有教學(xué)，管理和通信三大功能。對(duì)于目前的校園網(wǎng)建設(shè)來(lái)說(shuō)，主要側(cè)重于教學(xué)和通信，難以實(shí)現(xiàn)以數(shù)字化校園為核心的管理領(lǐng)域。</p><p><b>　　2 需求分析

10、</b></p><p><b>　　2.1建網(wǎng)需求</b></p><p>　　校園寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大，關(guān)注網(wǎng)絡(luò)的可運(yùn)營(yíng)和可管理特性，校園網(wǎng)建網(wǎng)需求如下：</p><p>　　1、教學(xué)區(qū)、宿舍區(qū)用戶對(duì)校園網(wǎng)、教育網(wǎng)、INTERNET的訪問(wèn)有相應(yīng)的路由策略。</p><p>　　2、校園網(wǎng) 存在 多個(gè)

11、出 口需 求，校 園網(wǎng) 至少要 提供 中國(guó)教 育科 研網(wǎng)（ CERNET ）和 INTERNET兩個(gè)出口。</p><p>　　3、校園網(wǎng)安全性要求較高，要求設(shè)備能夠?qū)崿F(xiàn)用戶識(shí)別和動(dòng)態(tài)綁定功能如通過(guò) “IP+MAC+端口”三元組的動(dòng)態(tài)綁定來(lái)識(shí)別用戶。</p><p>　　4、校園網(wǎng)WEB頁(yè)面可實(shí)現(xiàn)以下功能：用戶Web自助服務(wù)功能，用戶可通過(guò)Web自助服務(wù)頁(yè)面，進(jìn)行個(gè)人資料的查詢、密碼修改、

12、上網(wǎng)明細(xì)查詢、繳費(fèi)記錄查詢以及在線預(yù)注冊(cè)。</p><p>　　5、校園網(wǎng)要求能對(duì)每個(gè)用戶的使用情況能進(jìn)行事后審計(jì)，能夠定位到IP地址以及用戶所連接的端口和登錄的用戶名，限定帳號(hào)的使用端口。</p><p>　　6、校園網(wǎng)要求能實(shí)現(xiàn)對(duì)用戶帶寬的動(dòng)態(tài)控制。</p><p>　　7、校園網(wǎng)要求實(shí)現(xiàn)組播業(yè)務(wù)。</p><p>　　8、校園網(wǎng)要求在學(xué)

13、校規(guī)模不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性，能夠根據(jù)需要逐步平滑升級(jí)到萬(wàn)兆的骨干連接。</p><p>　　校園網(wǎng)建成后將實(shí)現(xiàn)以下基本功能：</p><p>　　校園網(wǎng)建成后將實(shí)現(xiàn)以下基本功能：</p><p>　　1）計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)；</p><p>　　2）網(wǎng)絡(luò)下載、網(wǎng)絡(luò)聊天等；</p>

14、<p>　　3）電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開(kāi)展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)；</p><p>　　4）文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資料和技術(shù)文擋；</p><p>　　5）INTERNET 服務(wù)：學(xué)?？梢越⒆约旱闹黜?yè)，利用外部網(wǎng)頁(yè)進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁(yè)進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見(jiàn)等。</p><

15、;p>　　6）圖書(shū)館的訪問(wèn)系統(tǒng)，用于計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等；</p><p>　　7)其他應(yīng)用，如大型分布式數(shù)據(jù)庫(kù)系統(tǒng)、超性能計(jì)算資源共享、管理系統(tǒng)、視頻會(huì)議等</p><p><b>　　2.2 設(shè)計(jì)目標(biāo)</b></p><p>　　本項(xiàng)目的實(shí)施將會(huì)大大改善學(xué)校的教學(xué)和科研條件。系統(tǒng)完成后將達(dá)到以下目標(biāo)：（1）建立一個(gè)連

16、接多媒體教室，圖書(shū)館等地的校園網(wǎng)，該網(wǎng)的骨干速率為100Mb/s。（2）建立VPN服務(wù)器，以支持教師的移動(dòng)辦公。教師在任何地方，通過(guò)Modem撥號(hào)，在授權(quán)情況下都可以訪問(wèn)校內(nèi)信息。（3）建立學(xué)校本身的WWW服務(wù)器，提供學(xué)校的主頁(yè)。（4）提供學(xué)校圖書(shū)館數(shù)目的聯(lián)機(jī)查詢。（5）建立郵件服務(wù)器，為全校師生提供電子郵件服務(wù)。（6）提供文件傳輸服務(wù)。</p><p>　　3 校園網(wǎng)結(jié)構(gòu)的設(shè)計(jì)</p><p

17、>　　根據(jù)學(xué)校實(shí)際情況和特點(diǎn)，進(jìn)行校園網(wǎng)的建設(shè)。在設(shè)計(jì)過(guò)程中，注意校園網(wǎng)的實(shí)用性與先進(jìn)性的結(jié)合，并且采用成熟的網(wǎng)絡(luò)技術(shù)，保證校園網(wǎng)的實(shí)用性。</p><p><b>　　3.1總體設(shè)計(jì)原則</b></p><p>　　在校園網(wǎng)的建設(shè)過(guò)程中，系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則。校園網(wǎng)覆蓋整個(gè)學(xué)校校園，網(wǎng)絡(luò)設(shè)計(jì)遵循下列5個(gè)基本原則：&l

18、t;/p><p>　　可靠性和高性能網(wǎng)絡(luò)必須是可靠的，包括網(wǎng)元級(jí)的可靠性，如引擎、風(fēng)扇、單板、總計(jì)等；以及網(wǎng)絡(luò)級(jí)的可靠性，如路由、交換的匯聚，鏈路冗余，負(fù)載均衡等。網(wǎng)絡(luò)必須具有足夠高的性能，滿足業(yè)務(wù)的需要。</p><p>　　可擴(kuò)展性和可升級(jí)性 系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。

19、設(shè)備應(yīng)選用符合國(guó)際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿足將來(lái)系統(tǒng)升級(jí)的要求。</p><p>　　易管理、易維護(hù) 由于校園骨干網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，應(yīng)用豐富而復(fù)雜，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，同時(shí)應(yīng)盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護(hù)。這里我們選用的設(shè)備是思科可網(wǎng)管的交換機(jī)，防火墻。</p><p>　　先進(jìn)性、成熟性 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展很快，設(shè)

20、備更新淘汰也很快。這就要求校園網(wǎng)建設(shè)在系統(tǒng)設(shè)計(jì)時(shí)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。這里我們技術(shù)采用流行的層次化建網(wǎng)，三層結(jié)構(gòu)技術(shù)的成熟滿足網(wǎng)絡(luò)的先進(jìn)性。設(shè)備選用思科主流交換機(jī)，保證4年內(nèi)設(shè)備不被淘汰。</p><p>　　安全性、保密性 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于校園骨干網(wǎng)絡(luò)為多個(gè)用戶內(nèi)部網(wǎng)提供互聯(lián)并支持多種業(yè)務(wù)，要求能進(jìn)行靈活有效的安全控制，同時(shí)還應(yīng)支持虛擬專網(wǎng)，以提供多

21、層次的安全選擇。在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán) 限控制等。在次校園網(wǎng)假設(shè)中，通過(guò)劃分子網(wǎng)，在交換機(jī)上實(shí)現(xiàn)Vlan達(dá)到網(wǎng)絡(luò)安全性。</p><p>　　靈活性、綜合性 通過(guò)采用結(jié)構(gòu)化、模塊化的設(shè)計(jì)形式，以滿足系統(tǒng)目標(biāo)與功能為目標(biāo)，保證總體方案的設(shè)計(jì)合理，滿足用戶的需求，同時(shí)便于系統(tǒng)使用過(guò)程中的維護(hù)，以及今后系統(tǒng)的二次開(kāi)發(fā)與移植。</p>

22、<p><b>　　4 解決方案</b></p><p>　　由于校園網(wǎng)網(wǎng)絡(luò)特性（數(shù)據(jù)流量大，穩(wěn)定性強(qiáng)，經(jīng)濟(jì)性和擴(kuò)充性）和各個(gè)部門(mén)的要求（制作部門(mén)和辦公部門(mén)間的訪問(wèn)控制），我們采用下列方案：</p><p>　　4.1.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</p><p>　　根據(jù)網(wǎng)絡(luò)環(huán)境，我們可以繪制校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)。其中，我們使用路由器同Interne

23、t連接，并且選購(gòu)了一臺(tái)硬件防火墻來(lái)保護(hù)內(nèi)網(wǎng)。在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中，可以看到講多臺(tái)服務(wù)器劃分到一個(gè)VLAN中.校園網(wǎng)絡(luò)拓?fù)湟?jiàn)圖4.1 圖 4.1 校園網(wǎng)絡(luò)拓?fù)鋱D </p><p><b>　　4.2組網(wǎng)技術(shù)選擇</b></p><p>　　目前，常用的主干網(wǎng)的組網(wǎng)技術(shù)有快速以太網(wǎng)（100M

24、bps）、FDDI、千兆以太網(wǎng)（1000Mbps）和ATM（155Mbps/622Mbps）?？焖僖蕴W(wǎng)是一種非常成熟的組網(wǎng)技術(shù)，它的造價(jià)很低，性能價(jià)格比很高；FDDI也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)復(fù)雜、造價(jià)高，難以升級(jí)；ATM技術(shù)成熟，是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺(tái)，但它的網(wǎng)絡(luò)帶寬的實(shí)際利用率很低；目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù)，造價(jià)低于ATM網(wǎng)，它的有效帶寬比622Mbps的ATM還高。因此，個(gè)人推薦采用千兆以太網(wǎng)為骨干，快

25、速以太網(wǎng)交換到桌面組建計(jì)算機(jī)播控網(wǎng)絡(luò)。</p><p><b>　　4.3方案說(shuō)明</b></p><p>　　校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。因?qū)W校存在大量的語(yǔ)音和視頻傳輸。據(jù)此，考慮匯聚層對(duì) QoS 有良好的支持并且能提供大的帶寬。接入層設(shè)備

26、是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該具備即插即用特性以及易于維護(hù)的特點(diǎn)。</p><p>　　4.4關(guān)鍵核心技術(shù)的實(shí)現(xiàn)</p><p>　　由拓?fù)鋱D可以知道需要實(shí)現(xiàn)的功能：NAT、ACL、VLAN、路由功能、MSTP、VRRP、OSPF等。</p><p>　　4.1圖中中心機(jī)房的交換機(jī)與匯聚層的交換機(jī)連接方式為：匯聚層的交換機(jī)的F0/1號(hào)端口與S5750S-1交換

27、機(jī)的F0/3-8端口按如圖所示的順序連接，匯聚層交換機(jī)的F0/2號(hào)端口與S5750S-2交換機(jī)的F0/3-8號(hào)端口按如圖所示的順序連接。</p><p>　　在局域網(wǎng)中，各個(gè)設(shè)備的端口地址使用192.168.1.0/24的網(wǎng)段地址。</p><p>　　核心層設(shè)備的詳細(xì)配置（以S5750S-1的配置為例，S5750S-2的配置基本相似）：</p><p>　　設(shè)置t

28、runk 端口與互為備份的交換機(jī)以及匯聚層的交換機(jī)連接。進(jìn)入F0/1-8端口設(shè)置為trunk模式，使用的命令為：</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　創(chuàng)建vlan2、3、22、23并給vlan配置地址用來(lái)管理中心機(jī)房的信息點(diǎn)，使用的命令為：</p><p>　　S5750S-1(co

29、nfig)#vlan 2</p><p>　　S5750S-1 (config-vlan)#exit</p><p>　　S5750S-1 (config)int 2</p><p>　　S5750S-1 (config-if)#ip address 192.168.2.1 255.255.255.0</p><p>　　S5750S-1(c

30、onfig-if)#no shutdown</p><p>　　聲明所有的vlan（vlan2-77）完成相同vlan的識(shí)別，使用的命令為：</p><p>　　S5750S-1 (config)#vlan vlan-id </p><p>　　配置rstp協(xié)議，防止廣播風(fēng)暴以及提高鏈路的，使用的命令為：</p><p>　　S5750S-1

31、 (config)#spanning-tree</p><p>　　S5750S-1 (config)#spanning-tree mode rstp</p><p>　　配置ospf，使用的命令為：</p><p>　　S5750S-1 (config)#ip routing</p><p>　　S5750S-1 (config-route

32、r)#network 192.168.2.0 255.255.255.0 arae 0</p><p>　　S5750S-1 (config-router)#network 192.168.3.0 255.255.255.0 arae 0</p><p>　　S5750S-1 (config-router)#network 192.168.22.0 255.255.255.0 arae 0

33、</p><p>　　S5750S-1 (config-router)#network 192.168.23.0 255.255.255.0 arae 0</p><p>　　在核心交換機(jī)上配置VRRP（在端口4-8上同樣配值VRRP）：</p><p>　　S5750S-1 (config)#interface f0/3</p><p>　

34、　S5750S-1 (config-if)#no switchport </p><p>　　S5750S-1 (config-if)#ip add 192.168.1.2 255.255.255.0</p><p>　　S5750S-1 (config-if)#standby 1 ip 192.168.1.2</p><p>　　S5750S-1 (config-

35、if)#standby 1 preempt</p><p>　　S5750S-1 (config-if)#standby 2 ip 192.168.1.3</p><p>　　S5750S-1 (config-if)#standby 2 preempt</p><p>　　S5750S-1 (config-if)#no sh</p><p>

36、　　S5750S-1 (config-if)#exit</p><p>　　匯聚層涉及到的交換機(jī)的詳細(xì)配置（以7#的交換機(jī)的配置為例，其他結(jié)點(diǎn)的配置類似）：</p><p>　　配置連接核心層交換機(jī)和接入層交換機(jī)的trunk，分別進(jìn)入到F0/1，F(xiàn)0/2以及連接接入層交換機(jī)的端口，將端口模式設(shè)置為trunk模式，然后使用下面的命令：</p><p>　　Switch

37、(config-if)#switchport mode trunk</p><p>　　創(chuàng)建vlan并給vlan配地址，然后使用下面的命令：</p><p>　　Switch(config)#vlan 4</p><p>　　Switch(config-vlan)#exit</p><p>　　Swtch(config)int 4</p

38、><p>　　Switch(config-if)#ip address 192.168.4.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　將端口加入到相應(yīng)的vlan中，使用的命令為：</p><p>　　Switch(config)#int f0/11</

39、p><p>　　Switch(config-if)#switchport access vlan 4</p><p>　　Switch(config-if)#no shutdown</p><p>　　配置ospf，然后使用下面的命令：</p><p>　　Switch(config)#ip routing</p><p>

40、;　　Switch(config-router)#network 192.168.4.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.5.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.6.0 255.2

41、55.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.7.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.8.0 255.255.255.0 arae 0</p><p>　　Switch(confi

42、g-router)#network 192.168.9.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.24.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.25.0 255.255.255.0 arae

43、 0</p><p>　　Switch(config-router)#network 192.168.26.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.27.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#n

44、etwork 192.168.28.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.29.0 255.255.255.0 arae 0</p><p>　　接入層設(shè)備的詳細(xì)配置（以東區(qū)食堂一卡通的交換機(jī)的配置為例，其他交換機(jī)上的配置相似）：</p><p>　　在交換機(jī)上設(shè)

45、置trunk端口連接匯聚層的交換機(jī)，使用的命令為：</p><p>　　S2126（config-if）#switchport mode trunk</p><p>　　在交換機(jī)上聲明vlan使用的命令為：</p><p>　　S2126（config）#vlan 73</p><p>　　將端口加入到相應(yīng)的vlan使用的命令為：</p

46、><p>　　S2126（config）#int F0/1</p><p>　　S2126（config-if）#swtichport access 73</p><p>　　S2126（config-if）#no shutdown</p><p>　　出口路由器上的配置：</p><p>　　R2624（config）#

47、 router ospf 100</p><p>　　R2624-1(config-router)# network 192.168.0.0 0.0.255.255 area 0 </p><p>　　4.5中心機(jī)房設(shè)計(jì)方案</p><p>　　該“數(shù)字化校園”網(wǎng)絡(luò)建設(shè)的中心機(jī)房位于東區(qū)的五號(hào)教學(xué)樓的網(wǎng)絡(luò)信息管理中心。</p><p>　　中

48、心機(jī)房是核心層交換機(jī)的所在地。核心層采用雙核心交換機(jī)，在實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸?shù)耐瑫r(shí)，提供核心層的冗余能力、可靠性和高速的數(shù)據(jù)傳輸。因此，對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求都十分嚴(yán)格。同時(shí)，核心層也對(duì)其所處的環(huán)境提出了很高的要求。</p><p>　　隨著計(jì)算機(jī)系統(tǒng)技術(shù)和設(shè)備的不斷更新?lián)Q代，安裝計(jì)算機(jī)設(shè)備的場(chǎng)地技術(shù)，即機(jī)房工程也在不斷地推陳出新。所采用的新材料、設(shè)備、工藝和技術(shù)，其目的是為了更好地保證機(jī)房的溫度

49、、濕度、潔凈度、照度、防靜電、防干擾、防震動(dòng)、防雷電、及時(shí)監(jiān)控等，能充分滿足計(jì)算機(jī)設(shè)備的安全可靠地運(yùn)行，延長(zhǎng)計(jì)算機(jī)系統(tǒng)使用壽命的要求，同時(shí)又要給系統(tǒng)管理員創(chuàng)造一個(gè)舒適、典雅的環(huán)境。因此，在設(shè)計(jì)上要求充分考慮設(shè)備布局、功能劃分、整體效果、裝飾風(fēng)格，體現(xiàn)現(xiàn)代機(jī)房的特點(diǎn)和風(fēng)貌。</p><p>　　在建設(shè)中心機(jī)房時(shí)，需要多方面的考慮，具體考慮如下</p><p>　　1.內(nèi)部裝飾系統(tǒng)，具體包括：

50、</p><p>　　（1）隔斷工程：具有隔音、隔熱、耐壓等特點(diǎn)，透視效果極佳，整個(gè)機(jī)房四周的墻邊、墻角均做防水處理。玻璃與吊頂、地板交接處安裝亞光不銹鋼踢腳板線。主控室、休息室、機(jī)房、電源室內(nèi)隔斷采用大框玻璃隔斷，隔斷與天花、地板交接處裝不銹鋼角線；</p><p>　?。?）地面工程：主控區(qū)地板采用架空地板，為使水泥砂漿地面達(dá)到不起塵、不產(chǎn)塵、保證空調(diào)送風(fēng)系統(tǒng)的空氣潔凈度，地面需要先涮

51、防塵漆做防塵處理；</p><p>　?。?）門(mén)窗工程：休息室與主控區(qū)為玻璃隔斷，門(mén)均為無(wú)框玻璃自由門(mén)；</p><p>　?。?）天花吊頂工程：根據(jù)網(wǎng)絡(luò)機(jī)房的具體建筑結(jié)構(gòu)情況，整個(gè)機(jī)房為了確保機(jī)房的保溫和消防需要；而且天花板應(yīng)該美觀、耐用，防火、防潮，同時(shí)與機(jī)房屏蔽網(wǎng)一起組成一個(gè)完整的屏蔽系統(tǒng)，具抗靜電、抗干擾的作用；</p><p>　?。?）墻面裝飾工程：墻面

52、處理是指采用在主機(jī)房建筑物的墻面、柱面上進(jìn)行防塵、防潮、防水、保溫處理，同時(shí)使房屋內(nèi)部平整、光滑，清潔美觀，改善采用光條件，增強(qiáng)保溫、隔熱、隔音、防塵等性能從而改善環(huán)境條件。進(jìn)行防塵處理、確保潔凈度高、不產(chǎn)生粉塵、耐久性高、不產(chǎn)生龜裂、眩光，同時(shí)起到防水、防潮、防霉的效果。</p><p><b>　　2.配電系統(tǒng)設(shè)計(jì)</b></p><p>　　一個(gè)系統(tǒng)能夠正常工作

53、，不僅需要有良好的主設(shè)備、性能卓越的UPS電源和安全舒適的工作環(huán)境，還需要有一個(gè)設(shè)計(jì)合理、可靠性高的供配電系統(tǒng)。</p><p><b>　　3.空調(diào)工程設(shè)計(jì)</b></p><p>　　為使機(jī)房的主要設(shè)備和管理操作人員有一個(gè)良好的工作環(huán)境，并使其能夠安全、可靠地運(yùn)行，發(fā)揮其最大的工作效率，就要提供一個(gè)符合其運(yùn)行標(biāo)準(zhǔn)要求的機(jī)房環(huán)境。這就對(duì)機(jī)房空氣的制冷、制熱、加濕、去

54、濕、濾塵有嚴(yán)格的標(biāo)準(zhǔn)要求。設(shè)備運(yùn)行情況、使用壽命與工作環(huán)境有密切關(guān)系，溫度、濕度、潔凈度就是工作環(huán)境的關(guān)鍵因素。</p><p>　　在排氣系統(tǒng)的選擇時(shí)，應(yīng)依照機(jī)房功能分區(qū)的設(shè)立，設(shè)置各分區(qū)的排氣系統(tǒng)。它可以使機(jī)房工作人員有一個(gè)好的空氣環(huán)境條件，排氣系統(tǒng)采用吊頂天花內(nèi)安裝，不占用機(jī)房空間。機(jī)房。</p><p><b>　　4.監(jiān)控系統(tǒng)設(shè)計(jì)</b></p>

55、<p>　　對(duì)于網(wǎng)絡(luò)機(jī)房，要考慮采用與大樓閉路監(jiān)控主機(jī)為主的安防系統(tǒng)。</p><p>　　5.機(jī)房防雷接地方案</p><p>　　網(wǎng)絡(luò)機(jī)房?jī)?nèi)集中了大量微電子設(shè)備，而這些設(shè)備內(nèi)部結(jié)構(gòu)高度集成化（VLSI 芯片），從而造成設(shè)備耐過(guò)電壓、耐過(guò)電流的水平下降，對(duì)雷電（包括感應(yīng)雷及操作過(guò)電壓）浪涌的承受能力下降。感應(yīng)雷侵入用電設(shè)備及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的途徑主要有四個(gè)方面：交流電源380

56、V、220V電源線引入；信號(hào)傳輸通道引入；地電位反擊以及空間雷閃電磁脈沖(LEMP)等。為了確保機(jī)房設(shè)備及電腦網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠運(yùn)行，以及保證機(jī)房工作人員有安全的工作環(huán)境，根據(jù)我國(guó)及國(guó)際有關(guān)規(guī)范規(guī)定，對(duì)用戶機(jī)房提出本防雷接地方案。</p><p><b>　　4.6出口方案說(shuō)明</b></p><p>　　校園網(wǎng)是高校的信息化建設(shè)的基礎(chǔ)設(shè)施，是教學(xué)科研管理信息化和現(xiàn)代化

57、的重要平臺(tái)。大部分高校校園網(wǎng)從初建至今已有幾年的歷史。初建時(shí)，一般都是租用一條DDN線路連接到中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（CERNET）。由于中國(guó)教育科研網(wǎng)與一般的電信級(jí)運(yùn)營(yíng)網(wǎng)絡(luò)不同，沒(méi)有非常充裕的線路、設(shè)備冗余，有可能發(fā)生單點(diǎn)故障，對(duì)于校園網(wǎng)的穩(wěn)定運(yùn)行有一定的影響。同時(shí)，通過(guò)CERNET訪問(wèn)其他的共眾網(wǎng)如CHINANET、GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡(luò)的各種網(wǎng)絡(luò)應(yīng)用的展開(kāi)，要求校園網(wǎng)絡(luò)出口具有較高的網(wǎng)絡(luò)帶寬，原有

58、單一的CERNET出口已不能滿足，有必要進(jìn)一步擴(kuò)大帶寬，通過(guò)當(dāng)?shù)鼐W(wǎng)絡(luò)服務(wù)提供商（ISP）開(kāi)辟第二出口連入INTERNET是較好的解決途徑，許多學(xué)校采用了教育網(wǎng)和電信（或聯(lián)通、鐵通等）第二出口的雙出口方案，既可以保留教育網(wǎng)資源，同時(shí)可以增加帶寬，提高了訪問(wèn)INTERNET資源的速度。</p><p>　　各個(gè)學(xué)校采用了不同的技術(shù)實(shí)現(xiàn)雙出口，但是基本上思路是相同的：對(duì)于訪問(wèn)教育網(wǎng)資源和mail流量走教育網(wǎng)出口，對(duì)于用

59、戶上網(wǎng)來(lái)說(shuō)，走第二出口。這樣，一方面提高了校園網(wǎng)出口的冗余，增加了校園網(wǎng)的穩(wěn)定性，另一方面，也解決了校外訪問(wèn)校園網(wǎng)速度過(guò)慢的問(wèn)題，同時(shí)，有效減少教育網(wǎng)的國(guó)際流量，降低網(wǎng)絡(luò)運(yùn)行費(fèi)用。</p><p>　　第二出口從連接方式上來(lái)說(shuō)，可以采用DDN專線、ISDN、ADSL等多種技術(shù)，具體可以根據(jù)需求選擇，在本文中不予以討論。</p><p>　　在原有一條CERNET接入鏈路的基礎(chǔ)上，通過(guò)電信開(kāi)

60、辟了第二出口。而增加了校園網(wǎng)絡(luò)出口線路，從理論上說(shuō)提高了網(wǎng)絡(luò)帶寬，但是如果不調(diào)整原有網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)，其效果不能體現(xiàn)。對(duì)該方案，我們有以下幾方面的要求：</p><p>　　（1） 客戶端IP地址設(shè)置不受影響，即不用重新設(shè)置地址就可以正常上網(wǎng)；</p><p>　?。?） 客戶端訪問(wèn)教育科研網(wǎng)的網(wǎng)站時(shí)，出口線路CERNET，訪問(wèn)其他站點(diǎn)時(shí)，走中國(guó)電信線路出口。</p><

61、p>　?。?） 解決外部公眾網(wǎng)的用戶訪問(wèn)我校校園網(wǎng)主頁(yè)的速度過(guò)慢的問(wèn)題。</p><p>　?。?） 校園網(wǎng)絡(luò)中的郵件走CERNET線路。</p><p><b>　　涉及到的主要技術(shù)：</b></p><p>　　1、 代理服務(wù)器技術(shù)</p><p>　　代理服務(wù)器一端接入Internet,另一端接入中心路由器，

62、通過(guò)代理服務(wù)軟件實(shí)現(xiàn)客戶端上網(wǎng)。這種方式配置簡(jiǎn)單，設(shè)備費(fèi)用低廉，并且不需要大規(guī)模改變?cè)械脑O(shè)備連接和配置。但是相對(duì)來(lái)說(shuō)，由于是通過(guò)代理軟件實(shí)現(xiàn)共享上網(wǎng)，訪問(wèn)速度容易受到影響。</p><p><b>　　2、路由選擇</b></p><p>　　靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反映，

63、一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡(jiǎn)單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。這種方式對(duì)于設(shè)備的要求較高，配置相對(duì)繁瑣，但是上網(wǎng)的路由選擇與用戶無(wú)關(guān)，用戶的上網(wǎng)方式無(wú)需進(jìn)行任何改動(dòng)，可操作性較好。同時(shí)，網(wǎng)絡(luò)管理人員可以根據(jù)兩個(gè)出口的帶寬和流量情況，調(diào)整路由指向。</p><p><b>　　3、策略路由技術(shù)</b&

64、gt;</p><p>　　在路由器進(jìn)行包轉(zhuǎn)發(fā)決策過(guò)程中，通常是根據(jù)所接受的包的目的地址進(jìn)行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應(yīng)的最優(yōu)路由轉(zhuǎn)發(fā)決策。當(dāng)欲使某些包由其他路徑而不是明確的最短路徑路由時(shí)，就可以啟用策略路由，即按照我們具體需要來(lái)決定數(shù)據(jù)包的路由?；诓呗月酚捎腥缦聨追N方式，即：基于源IP地址的策略路由；基于數(shù)據(jù)包大小的策略路由；基于應(yīng)用的策略路由；通過(guò)缺省路由平衡負(fù)載。根據(jù)實(shí)際情況我們需要

65、特定如郵件等服務(wù)器接受和發(fā)送包的路徑是通過(guò)CERNET，所以選擇的是基于源IP地址的策略路由。這種方式是最佳選擇，但是設(shè)備要求比較高。</p><p>　　在使用路由選擇時(shí)，一般采用NAT——地址轉(zhuǎn)換技術(shù)解決內(nèi)外網(wǎng)地址的轉(zhuǎn)換問(wèn)題。NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí)，就在邊緣路由器或者防火墻處，將內(nèi)部地址替換成全局地址合法地址，從而在外部公共網(wǎng)上正常使用。目前NAT功能通常被

66、集成到路由器、防火墻等設(shè)備中。NAT設(shè)備維護(hù)一個(gè)NAT表，用它來(lái)實(shí)現(xiàn)全局到本地和本地到全局地址的映射。NAT設(shè)置可以分為靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換。</p><p>　?。?） 靜態(tài)地址轉(zhuǎn)換</p><p>　　靜態(tài)NAT是這三種中最容易實(shí)現(xiàn)的一種，它在NAT表中為每一個(gè)需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對(duì)應(yīng)。每當(dāng)內(nèi)部節(jié)點(diǎn)與外

67、界通信時(shí)，內(nèi)部地址就會(huì)轉(zhuǎn)化為對(duì)應(yīng)的全局地址。這種方式主要用于服務(wù)器，以確保外部對(duì)服務(wù)器的正確訪問(wèn)。</p><p>　?。?） 動(dòng)態(tài)地址轉(zhuǎn)換</p><p>　　增加了網(wǎng)絡(luò)管理的復(fù)雜性，但也提供了很大的靈活性。它將可用的全局地址地址集定義成NAT池（NATPool）。對(duì)于要與外界進(jìn)行通信的內(nèi)部節(jié)點(diǎn)，如果還沒(méi)有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會(huì)動(dòng)態(tài)地從NAT池中選擇全局地址對(duì)內(nèi)部地址進(jìn)行

68、轉(zhuǎn)化。每個(gè)轉(zhuǎn)換條目在連接建立時(shí)動(dòng)態(tài)建立，而在連接終止時(shí)會(huì)被回收。這樣，網(wǎng)絡(luò)的靈活性大大增強(qiáng)了，所需要的全局地址進(jìn)一步地減少。需要注意的是，在地址池中的可用地址被耗盡后，后續(xù)的連接請(qǐng)求將會(huì)失敗，會(huì)造成網(wǎng)絡(luò)連通性的問(wèn)題。所以應(yīng)該使用超時(shí)操作選項(xiàng)來(lái)回收NAT池的全局地址。另外，由于每次的地址轉(zhuǎn)換是動(dòng)態(tài)的，所以同一個(gè)節(jié)點(diǎn)在不同的連接中的全局地址是不同的，這會(huì)使SNMP的操作復(fù)雜化。</p><p><b>　　

69、（3）端口地址轉(zhuǎn)換</b></p><p>　　端口地址轉(zhuǎn)換首先是一種動(dòng)態(tài)地址轉(zhuǎn)換，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi)部合法地址。對(duì)只申請(qǐng)到少量IP地址但卻經(jīng)常同時(shí)有多個(gè)用戶上外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。</p><p><b>　　5.網(wǎng)絡(luò)設(shè)備選型</b></p><p><b>　　5.1交換機(jī)</b

70、></p><p>　　校園網(wǎng)采用千兆以太交換網(wǎng)。配置2臺(tái)核心交換機(jī)和6臺(tái)二級(jí)交換機(jī)。各交換機(jī)均支持光纖擴(kuò)充端口并帶有擴(kuò)充模塊槽。校園網(wǎng)絡(luò)主干為千兆網(wǎng)絡(luò)，百兆交換到桌面，保障所有用戶同時(shí)調(diào)用服務(wù)資源時(shí)都能快速、流暢，充分發(fā)揮多媒體課室教學(xué)的作用；同時(shí)保證所有用戶同時(shí)上網(wǎng)順暢，使校園網(wǎng)絡(luò)的功能發(fā)揮得淋漓盡致。</p><p>　　本網(wǎng)絡(luò)工程交換機(jī)的數(shù)量和基本性能要求如表5.1：<

71、/p><p>　　表5.1 交換機(jī)的數(shù)量和基本性能要求</p><p>　　RG-S5750S-48GT/4SFP交換機(jī)</p><p>　　RG-S5750S-48GT/4SFP交換機(jī)是為IP協(xié)議、互聯(lián)網(wǎng)包交換協(xié)議IPX和IP組播提供線速交換的固定配置第三層L3以太網(wǎng)交換機(jī)交換機(jī)。這種交換機(jī)為擁有適當(dāng)端口密度的中型園區(qū)主干網(wǎng)提供所需的高度性能。它非常適合集合多個(gè)配線間

72、或工作組交換機(jī)。RG-S5750S-48GT/4SFP交換機(jī)不僅為IP、IPX及IP組播提供無(wú)阻塞路由和交換，同時(shí)也為不可路由的協(xié)議提供線速第二層交換，例如NetBIOS和DECnet 局域傳輸（LAT）。這種功能允許網(wǎng)絡(luò)管理員通過(guò)交換機(jī)擴(kuò)展它們的多協(xié)議主干網(wǎng)，而無(wú)須像僅采用IP交換機(jī)那樣，通常需要建立并行網(wǎng)絡(luò)。</p><p><b>　　其特性有：</b></p><

73、p>　　48個(gè)專用10/100Mb/s以太網(wǎng)端口，以及兩個(gè)支持千兆位接口轉(zhuǎn)換器的1000Base-X千兆位以太網(wǎng)端口，所有端口都擁有第三層交換功能。高性能：超過(guò)IP、IPX交換機(jī)及IP組播的10Mb/s第三層交換和路由。24Gb/s無(wú)阻塞交換矩陣。帶有高性能CPU。</p><p>　　其詳細(xì)參數(shù)如表5.2</p><p><b>　　表5.2 詳細(xì)參數(shù)</b>

74、</p><p>　　5.2 銳捷網(wǎng)絡(luò)RG-WALL 1000</p><p>　　銳捷公司的RG-WALL 1000防火墻對(duì)外部網(wǎng)絡(luò)來(lái)說(shuō)它完全隱蔽了其內(nèi)部的網(wǎng)絡(luò)機(jī)構(gòu)。并且它運(yùn)行安全的實(shí)時(shí)內(nèi)核，而不是Unix。</p><p>　　銳捷公司的RG-WALL 1000防火墻允許已經(jīng)存在的私人或企業(yè)網(wǎng)絡(luò)安全的訪問(wèn)Internet，因?yàn)樗捎昧艘环N稱為NAT（ Netw

75、ork Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）的技術(shù)，方便大型的企業(yè)網(wǎng)絡(luò)接入Internet，并且可于五分鐘內(nèi)完成配置。</p><p>　　透明的支持通用的TCP／IP Internet服務(wù)，如： World Wide Web， FTP， Telnet,Archie,Gopher和Rlogin等等。</p><p><b>　　5.3服務(wù)器</b

76、></p><p>　　網(wǎng)絡(luò)中心配置2臺(tái)部門(mén)級(jí)服務(wù)器，分別做應(yīng)用服務(wù)器和Web服務(wù)器。其配置和性能如下：</p><p>　?。?）Web服務(wù)器1臺(tái)配置單見(jiàn)表5.3：</p><p>　　表5.3 服務(wù)器配置單</p><p>　　(2) 應(yīng)用服務(wù)器1臺(tái)配置單見(jiàn)表5.4:</p><p>　　表5.4應(yīng)用服務(wù)器

77、配置單</p><p><b>　　6 網(wǎng)絡(luò)系統(tǒng)建設(shè)</b></p><p>　　6.1 網(wǎng)絡(luò)平臺(tái)選擇</p><p>　　校園網(wǎng)作為學(xué)校教學(xué)與治理現(xiàn)代化的基礎(chǔ)實(shí)施，除了能對(duì)學(xué)校的辦公自動(dòng)化與輔助教學(xué)提供強(qiáng)有力的支持外，在信息交流、 經(jīng)驗(yàn)分享、消息發(fā)布、思想溝通、工作協(xié)同、教學(xué)研討等方面也能發(fā)揮非常重要的作用。同時(shí),作為學(xué)校教學(xué)的工具，校園網(wǎng)也

78、向?qū)W生提供了前所未有的機(jī)會(huì)。如何選擇適合于自己校園網(wǎng)的各種系統(tǒng)平臺(tái)，是建網(wǎng)時(shí)首先需要考慮的問(wèn)題。</p><p><b>　　6.2 硬件平臺(tái) </b></p><p>　　校園網(wǎng)的硬件平臺(tái)主要是指將校內(nèi)的各個(gè)部門(mén)的計(jì)算機(jī)和相關(guān)的信息處理設(shè)備以某種方式物理地連接起來(lái)，形成一個(gè)信息交流與共享的網(wǎng)絡(luò)。 </p><p>　　根據(jù)目前網(wǎng)絡(luò)技術(shù)的發(fā)展?fàn)?/p>

79、況，結(jié)合學(xué)校包含大量多媒體信息的特點(diǎn)，應(yīng)選用具有足夠帶寬的局域網(wǎng)。</p><p>　　在各種交換式局域網(wǎng)中，比較適合于構(gòu)筑校園網(wǎng)的有千兆以太網(wǎng)和ATM。在構(gòu)筑校園網(wǎng)硬件平臺(tái)時(shí)，可采用“千兆交換為主干，百兆交換到桌面”的體系結(jié)構(gòu)。對(duì)于千兆以太網(wǎng)，中心交換機(jī)選用帶光纖接口的千兆以太網(wǎng)交換機(jī)，節(jié)點(diǎn)交換機(jī)選用具有一個(gè)光纖口和若干個(gè)通到桌面的RJ45口的百兆交換機(jī)。 </p><p>　　根據(jù)學(xué)校

80、的具體情況選擇DDN、ISDN或普通電話線上網(wǎng)三種方式。 在這里我們選擇DDN專線連接Internet,提供高質(zhì)量上網(wǎng)服務(wù)。</p><p>　　選用DDN專線時(shí)，必須通過(guò)路由器與Internet相連，路由器中可配置防火墻。DDN的速度比較快，最高可達(dá)2M。但由于需向電信部門(mén)租用線路，所以費(fèi)用比較高。 </p><p><b>　　6.3 操作系統(tǒng) </b></

81、p><p>　　網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)與用戶之間的接口，主要用來(lái)屏蔽本地資源與網(wǎng)絡(luò)資源的差異性，為用戶提供各種基本網(wǎng)絡(luò)服務(wù)功能，完成網(wǎng)絡(luò)資源治理，并保證系 統(tǒng)的安全服務(wù)。目前的網(wǎng)絡(luò)操作系統(tǒng)主要有Novell公司的Netware、Microsoft公司的WindowsNT、IBM公司的 OS/2WarpServer、 BanyanSystems公司的VINES以及UNIX等五種網(wǎng)絡(luò)操作系統(tǒng)。要想正確選擇網(wǎng)絡(luò)操作系統(tǒng)，一

82、般要從目錄服務(wù)、客戶機(jī)/服務(wù)器消息傳遞、治理能力以及Internet和Intranet連接性能等四個(gè)方面加以考慮。 </p><p>　　最適合于校園網(wǎng)的操作系統(tǒng)應(yīng)該是WindowsNT。----WindowsNT是以Windows及其他操作系統(tǒng)(如 UNIX、VMS、MVS)的技術(shù)為基礎(chǔ)的主從結(jié)構(gòu)專用的高性能、開(kāi)放式的操作系統(tǒng)。它保持了易學(xué)易用的Windows界面，而且最重要的是，WindowsNT可以讓使用者

83、選擇許多高性能且易用的應(yīng)用軟件，包括全新的32位Windows應(yīng)用軟件與現(xiàn)行的Windows、MSDOS、 OS/2等系統(tǒng)的應(yīng)用軟件。 </p><p><b>　　6.4 應(yīng)用平臺(tái) </b></p><p>　　BackOffice 是專門(mén)為Internet與Intranet設(shè)計(jì)的一組功能強(qiáng)大、連接緊密的服務(wù)器應(yīng)用軟件，它包括WindowsNTServer、MSMa

84、il、 SQLServer、SMS和SNA。這是一組集成的運(yùn)行于WindowsNT上的服務(wù)器應(yīng)用組件,它可以按照學(xué)校的應(yīng)用情況逐漸添加到網(wǎng)絡(luò)中。比如,當(dāng)很多人需要使用電子郵件或是需要連接到InternetMail的時(shí)候,可以在WindowsNTServer上增加MSMail服務(wù)，或者把現(xiàn)有的 FoXPro數(shù)據(jù)庫(kù)升級(jí)到SQLServer,來(lái)獲得更好的多用戶支持與數(shù)據(jù)治理性能。SMS可以幫用戶更好地治理局域網(wǎng)與廣域網(wǎng),進(jìn)行遠(yuǎn)程診斷與軟件自動(dòng)

85、下裝；SNA可以連接PC局域網(wǎng)和IBM主機(jī)及小型機(jī)?？傊?BackOffice會(huì)提高網(wǎng)絡(luò)的靈活性與可靠性。 </p><p>　　BackOffice 也可以與Microsoft公司的Office軟件結(jié)合起來(lái)使用。學(xué)校的每一個(gè)人都可以直接利用他們桌面上的Office軟件進(jìn)行操作，檢索和分析存在服務(wù)器上的數(shù)據(jù)，形成可以訪問(wèn)與操作高級(jí)后臺(tái)服務(wù)的客戶機(jī)/服務(wù)器應(yīng)用。----從上面的敘述可以看出，這兩種產(chǎn)品都能比較好地為

86、校園網(wǎng)的應(yīng)用提供支持。 LotusNotes集成度高，用戶的安裝與使用既省事又方便，但因該軟件包含的功能較多，應(yīng)用系統(tǒng)的開(kāi)發(fā)難度較大，需要經(jīng)過(guò)一段時(shí)間的學(xué)習(xí)和實(shí)踐； BackOffice是以搭積木的方式組成的一系列服務(wù)器軟件，用戶完全可以根據(jù)應(yīng)用的需求和把握的情況逐步使用或開(kāi)發(fā)某些功能，但因涉及許多服務(wù)器軟件，會(huì)對(duì)用戶的安裝和使用帶來(lái)不便。</p><p><b>　　7 網(wǎng)絡(luò)地址規(guī)劃</b>

87、;</p><p>　　在校園網(wǎng)中，主要包括校園辦公系統(tǒng)，校園內(nèi)部主頁(yè)，內(nèi)部電子郵件，多媒體教室，電子圖書(shū)館系統(tǒng)，內(nèi)部信息服務(wù)系統(tǒng)等。</p><p>　　在系統(tǒng)中，整個(gè)網(wǎng)絡(luò)由網(wǎng)絡(luò)中心，教職工宿舍子網(wǎng)，綜合樓子網(wǎng)，多媒體教室，宿舍子網(wǎng)，一卡通子網(wǎng)，圖書(shū)館子網(wǎng)等組成，其中網(wǎng)絡(luò)中心是整個(gè)網(wǎng)絡(luò)的主干系統(tǒng)，是網(wǎng)絡(luò)的總結(jié)點(diǎn)，其余各子網(wǎng)是功能子網(wǎng)，建立相應(yīng)的網(wǎng)絡(luò)環(huán)境，適應(yīng)各種應(yīng)用。網(wǎng)絡(luò)中心構(gòu)成總結(jié)點(diǎn)，

88、各個(gè)子網(wǎng)的中心作為二級(jí)節(jié)點(diǎn)。</p><p>　　7.1 IP 地址規(guī)劃</p><p>　　IP 地址規(guī)劃是整個(gè)網(wǎng)絡(luò)設(shè)計(jì)中的重要組成部分，地址規(guī)劃的科學(xué)性和合理性將直接反應(yīng)網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)思想，對(duì)網(wǎng)絡(luò)的穩(wěn)定起到至關(guān)重要的影響。好的地址規(guī)劃同科學(xué)的分層網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)相輔相承，共同形成整體的網(wǎng)絡(luò)設(shè)計(jì)解決方案。</p><p>　　合理的網(wǎng)段劃分結(jié)合靈活的 VLAN 規(guī)劃

89、，可以有效地降低網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，保證整個(gè)網(wǎng)絡(luò)的穩(wěn)定，同時(shí)也起到一定的網(wǎng)絡(luò)安全功能。IP 地址規(guī)劃目標(biāo)是建立高效的網(wǎng)絡(luò)路由；有效的利用有效的網(wǎng)絡(luò)地址資源；支持網(wǎng)絡(luò)的擴(kuò)展支持網(wǎng)絡(luò)技術(shù)的發(fā)展和演變。</p><p>　　IP地址分配及VLAN劃分見(jiàn)表7.1（東區(qū)），表7.2（西區(qū)）。子網(wǎng)掩碼全部為默認(rèn)的255.255.255.0</p><p>　　表7.1 東區(qū)IP地址分配策略</p&

90、gt;<p>　　表7.2 西區(qū)IP地址分配策略</p><p>　　7.2 VLAN 劃分</p><p>　　默認(rèn)時(shí)，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡(luò)的最大好處是，它為插入到交換機(jī)每個(gè)端口的每臺(tái)設(shè)備創(chuàng)建了各自的沖突域。但每一個(gè)新的改進(jìn)通常都會(huì)引起新的問(wèn)題——用戶和設(shè)備的數(shù)量越大，每臺(tái)交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。</p>&l

91、t;p>　　通過(guò)創(chuàng)建虛擬局域網(wǎng)（VLAN），就可以在一個(gè)純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。VLAN 是兩個(gè)部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī)所定義端口的資源。 如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時(shí)，可以將交換機(jī)上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域。可以象對(duì)待單獨(dú)的子網(wǎng)和廣播域一樣來(lái)對(duì)待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個(gè)VLAN 內(nèi)

92、部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。用 VLAN 來(lái)簡(jiǎn)化網(wǎng)絡(luò)管理的方式有多種：通過(guò)將某個(gè)端口配置到合適的 VLAN 中，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的添加、移動(dòng)和改變。將對(duì)安全性要求高的一組用戶放入 VLAN 中，這樣，VALN 外部的用戶就無(wú)法與他們通信。作為功能上的邏輯用戶組，可以認(rèn)為 VLAN 獨(dú)立于它們的物理位置或地理位置。VLAN可以增強(qiáng)網(wǎng)絡(luò)安全性。VLAN 增加了廣播域的數(shù)量，同時(shí)減少了廣播域的范圍。</p><p>　

93、　Vlan的劃分如表7.3所示：</p><p>　　表7.3Vlan劃分</p><p>　　8“數(shù)字化校園”網(wǎng)絡(luò)建設(shè)方案實(shí)施控制流程</p><p>　　（1） 進(jìn)行系統(tǒng)全面的需求分析，了解本網(wǎng)絡(luò)中的各項(xiàng)功能要求，用戶需求。寫(xiě)出詳細(xì)的需求分析報(bào)告。</p><p>　?。?）依據(jù)需求分析報(bào)告做出網(wǎng)絡(luò)的規(guī)劃及設(shè)計(jì)，確定網(wǎng)絡(luò)中具體的功能，及網(wǎng)

94、絡(luò)中所需的技術(shù)要求。做出細(xì)致全面的分析和設(shè)計(jì)。例如：規(guī)劃網(wǎng)絡(luò)的結(jié)構(gòu)，確定核心層 匯聚層 接入層的基本方案，各個(gè)層次的設(shè)備選型，各區(qū)域間的網(wǎng)絡(luò)功能及實(shí)現(xiàn)功能所需的網(wǎng)絡(luò)技術(shù)。</p><p>　?。?）網(wǎng)絡(luò)建設(shè)的具體實(shí)施，購(gòu)買(mǎi)所需的設(shè)備 例如：線路中用到的光纖，各個(gè)層次中的交換機(jī) 路由器，服務(wù)器等。依照前面做出的規(guī)劃設(shè)計(jì)報(bào)告，具體建設(shè)各個(gè)部門(mén) 例如：中心機(jī)房 各個(gè)樓層的通信交換中心 網(wǎng)絡(luò)節(jié)點(diǎn)的匯聚中心。在整個(gè)校園網(wǎng)絡(luò)

95、的區(qū)域內(nèi)布線，連接各個(gè)局域網(wǎng)絡(luò)。配置各個(gè)設(shè)備的功能 例如：ip地址 VLAN的劃分 路由選擇功能 MSTP VRRP技術(shù)等功能要求。完成網(wǎng)絡(luò)的基本框架建設(shè) 功能建設(shè)。</p><p>　?。?）對(duì)建成的網(wǎng)絡(luò)進(jìn)行測(cè)試和調(diào)試，在測(cè)試中應(yīng)當(dāng)保證網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)功能的正常運(yùn)行。網(wǎng)絡(luò)的穩(wěn)定程度。發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問(wèn)題并予以改正。</p><p>　?。?）網(wǎng)絡(luò)建成并測(cè)試運(yùn)行后交付使用方，對(duì)使用方相

96、關(guān)網(wǎng)絡(luò)管理人員進(jìn)行培訓(xùn)以保證網(wǎng)絡(luò)的正常運(yùn)行。</p><p>　　注：在整個(gè)網(wǎng)絡(luò)的建設(shè)實(shí)施過(guò)程中除建設(shè)方外由第三方進(jìn)行監(jiān)理活動(dòng)以保證本網(wǎng)絡(luò)建設(shè)的質(zhì)量。</p><p>　　9校園網(wǎng)的維護(hù)與保障策略 </p><p>　　由于校園網(wǎng)網(wǎng)絡(luò)特性（數(shù)據(jù)流量大，穩(wěn)定性強(qiáng)，經(jīng)濟(jì)性和擴(kuò)充性）和各個(gè)部門(mén)的要求（制作部門(mén)和辦公部門(mén)間的訪問(wèn)控制），我們采用下列方案： </p>

97、;<p>　　9.1物理安全設(shè)計(jì) </p><p>　　為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措

98、施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。</p><p>　　正常的防范措施主要在三個(gè)方面：對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門(mén)進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來(lái)安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)、波導(dǎo)，門(mén)的關(guān)起等。對(duì)本地網(wǎng) 、局域網(wǎng)傳輸線路傳導(dǎo)輻射

99、的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來(lái)的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。</p><p>　　9.2網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計(jì) </p><p>　　針對(duì)這個(gè)問(wèn)題，我們決定使用VLAN技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)物理隔離來(lái)實(shí)現(xiàn)。VLAN（Virtual LocalArea Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏

100、輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。</p><p>　　IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。</p><p>　　但由于它是邏輯地而

101、不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其它VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN

102、ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。從目前來(lái)看，根據(jù)端口來(lái)劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機(jī)的端口來(lái)劃分VLAN成員，被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通

103、訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。</p><p>　　但是，這種劃分模式將虛擬網(wǎng)絡(luò)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來(lái)劃分網(wǎng)絡(luò)成員，其配置過(guò)程簡(jiǎn)單明了。</p><p><b>　　9.3防火墻技術(shù)</b></p><p>　　企業(yè)防火

104、墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備，專門(mén)用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別，訪問(wèn)控制，安全審計(jì)，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），IDS，VPN，應(yīng)用代理等功能，保護(hù)內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò)，解決內(nèi)部計(jì)算機(jī)信息網(wǎng)絡(luò)出入口的安全問(wèn)題。</p><p>　　校園網(wǎng)的一些信息不能公布于眾，因此必須對(duì)這些信息進(jìn)行嚴(yán)格的保護(hù)和保密，所以要加強(qiáng)外部人員對(duì)校園網(wǎng)網(wǎng)絡(luò)的訪問(wèn)管理，杜絕敏感信息的泄漏。通過(guò)防火墻，嚴(yán)

105、格控制外來(lái)用戶對(duì)校園網(wǎng)網(wǎng)絡(luò)的訪問(wèn)，對(duì)非法訪問(wèn)進(jìn)行嚴(yán)格拒絕。防火墻可以對(duì)校園網(wǎng)信息網(wǎng)絡(luò)提供各種保護(hù)，包括：過(guò)濾掉不安全的服務(wù)和非法訪問(wèn)，控制對(duì)特殊站點(diǎn)的訪問(wèn)，提供監(jiān)視INTERNET安全和預(yù)警，系統(tǒng)認(rèn)證，利用日志功能進(jìn)行訪問(wèn)情況分析等。通過(guò)防火墻，基本可以保證到達(dá)內(nèi)部的訪問(wèn)都是安全的可以有效防止非法訪問(wèn)，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)完全性。校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分為各部門(mén)局域網(wǎng)（內(nèi)部安全子網(wǎng)）和同時(shí)連接內(nèi)部網(wǎng)絡(luò)并向外提供各種網(wǎng)絡(luò)服務(wù)的安全子網(wǎng)。

106、防火墻的拓?fù)浣Y(jié)構(gòu)圖。</p><p>　　內(nèi)部安全子網(wǎng)連接整個(gè)內(nèi)部使用的計(jì)算機(jī)，包括各個(gè)VLAN及內(nèi)部服務(wù)器，該網(wǎng)段對(duì)外部分開(kāi)，禁止外部非法入侵和攻擊，并控制合法的對(duì)外訪問(wèn)，實(shí)現(xiàn)內(nèi)部子網(wǎng)的安全。共享安全子網(wǎng)連接對(duì)外提供的WEB，EMAIL，F(xiàn)TP等服務(wù)的計(jì)算機(jī)和服務(wù)器，通過(guò)映射達(dá)到端口級(jí)安全。外部用戶只能訪問(wèn)安全規(guī)則允許的對(duì)外開(kāi)放的服務(wù)器，隱藏服務(wù)器的其它服務(wù)，減少系統(tǒng)漏洞。</p><p&g

107、t;<b>　　參考文獻(xiàn):</b></p><p>　　[1] 朱加強(qiáng).《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)》.北京：北大燕工教育研究院，2007</p><p>　　[2] 袁津生，吳硯農(nóng)。 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M]. 北京：人民郵電出版社，2006.7.</p><p>　　[3] 中國(guó)IT實(shí)驗(yàn)室。 VLAN及VPN技術(shù)[J/OL], 2009</p&g